Настройка D-Link
Инструкция по настройке взята из официального сайта D-Link.
Для получения прав администратора использовать команду «enable admin».
1) Создаем на коммутаторе запись о Radius-сервере.
1 | IP_RADIUS | IP-адрес радиус-сервера |
---|---|---|
2 | SECRET_KEY | RADIUS Secret - ключ для авторизации |
3 | 1812 | Порт радыус сервера по-умолчанию, если у вас другой, то нужно заменить |
create authen server_host IP_RADIUS protocol radius port 1812 key "SECRET_KEY" timeout 5 retransmit 2
2) Создаем метод авторизации rad_ext, в котором предпочитаемым будет RADIUS.
rad_ext | Название метода вносим свое |
---|
create authen_login method_list_name rad_ext config authen_login method_list_name rad_ext method radius
3) Создаем метод авторизации rad_ext_ena для получения прав администратора, в котором предпочитаемым будет RADIUS.
rad_ext_ena | Название метода вносим свое |
---|
create authen_enable method_list_name rad_ext_ena config authen_enable method_list_name rad_ext_ena method radius
4) В качестве примера применяем созданные нами методы авторизации для Telnet (в том числе для получения прав администратора). Для авторизации при доступе к коммутатору по консоли, SSH и HTTP оставляем параметры по умолчанию.
Если какого то метода на вашем коммутаторе нет, тогда команды для данного метода пропустить.
config authen application console login default config authen application console enable default config authen application telnet login method_list_name rad_ext config authen application telnet enable method_list_name rad_ext_ena config authen application ssh login default config authen application ssh enable default config authen application http login default config authen application http enable default
5) Задаем максимальное количество попыток авторизации.
config authen parameter attempt 3
6) Разрешаем повышение прав до admin для всех типов аутентификации.
config authen enable_admin all state enable
7)Глобально разрешаем использование политик аутентификации.
enable authen_policy
Настройка авторизации в Abills
Подключить модуль авторизации в /usr/abills/libexec/config.pl.
Описание сервера:
$conf{nas_servers} = {'switch_nas' => 'Switch NAS server'};
Правила авторизации после строки %AUTH = ();
$AUTH{switch_nas} = 'Dlink_auth';
Добавление серверов доступа
Важно!
Если ваш коммутатор находится в локальной сети и имеет серый и белый адрес, для корректной работы нужно добавить тот же сервер доступа два раза, с серым и белым адресом соответственно.
В случае добавления только одного из них авторизация работать НЕ БУДЕТ.
Если же у вашего коммутатора один белый адрес, тогда воспользуйтесь следующей схемой.
Меню Настройка>Сервер Доступа, кнопка .
Для корректной работы заполнить следующие поля:
Параметр | Описание |
---|---|
IP | IP-адрес коммутатора |
Название | Название |
Тип | Тип выбираем тот, который ранее добавили в config.pl (В данном примере switch_nas) |
Пароль (PoD,RADIUS Secret,SNMP) | RADIUS Secret - ключ для авторизации, ранее добавлений на коммутаторе |
Важно!
RADIUS Secret - ключ для авторизации, должен совпадать с SECRET_KEY настроенным на коммутаторе!
Для добавления нажать на кнопку Добавить.
Конфигурация Radius
В конфигурационный файл /etc/raddb/dictionary добавляем следующие строчки:
VENDOR dlink 171 BEGIN-VENDOR dlink ATTRIBUTE dlink-Privelege-Level 1 integer END-VENDOR dlink
В конфигурационный файл /etc/raddb/users добавляем следующие строчки:
DEFAULT Auth-Type = "Perl"
Пример Запрос/Ответ на radius
Запрос:
Received Access-Request (0) User-Name = "s" (0) User-Password = "s" (0) NAS-Identifier = "Himikov_4_p5_1" (0) NAS-IP-Address = 172.16.2.132 (0) NAS-Port = 0 (0) NAS-Port-Type = Async (0) Service-Type = Framed-User (0) Framed-Protocol = PPP
Ответ:
Sent Access-Accept (0) dlink-Privelege-Level = Admin (0) Finished request